Security-experts vinden lek op AliExpress
Onderzoekers bij securityspecialist Check Point melden een lek op online marktplaats AliExpress. Cybercriminelen vonden een gat in de bestaande code, waardoor ze bezoekers konden omleiden en hun betaalgegevens konden stelen, zonder dat de gebruiker zelf iets in de gaten had. Het lek is inmiddels gedicht, zo’n twee dagen nadat AliExpress werd ingelicht over het euvel.
Het lek stond toe om bezoekers door te sturen naar een webpagina op het AliExpress-platform die uitgerust was met kwaadaardige JavaScript-code. Zodra de pagina werd geopend, werd de code uitgevoerd in de browser van de gebruiker.
Concreet wilt dat zeggen dat cybercriminelen bezoekers lokten met een phishing-mail die de gebruiker aanzette om te klikken op een link naar de kwaadaardige pagina. Daar werd een pop-upschermpje getoond waarin werd om kredietkaartgegevens te delen in ruil voor een kortingsbon: een scherm dat je op AliExpress wel vaker tegenkomt. In dit scenario was de pop-up een vervalsing en werden de gegevens echter rechtstreeks doorgesluisd naar de cybercriminelen.
Het lek werd opgemerkt door enkele Check Point-onderzoekers begin oktober. Hoewel het probleem ondertussen is verholpen, kwam het wel erg ongelegen. Zo vlak voor de start van het koopjesseizoen en enkele weken voor nieuw koopjesfenomeen Singles’ Day, kon de Chinese marktplaats het lek missen als kiespijn.